Obowiązek prowadzenia dokumentacji medycznej

 

Z uwagi na fakt, iż wykonywanie  zawodu fizjoterapeuty polega na osobistym wykonywaniu usług o wyjątkowym charakterze społecznym, wymaga to od osób go wykonujących szczególnych cech psychofizycznych i moralnych oraz zachowania w tajemnicy danych uzyskanych w toku jego wykonywania. Udzielanie świadczeń zdrowotnych w formie podmiotu leczniczego skutkuje obowiązkiem prowadzenia dokumentacji medycznej zgodnie z wyżej wskazanymi przepisami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (dalej w skrócie u.p.p.) i rozporządzeniami wykonawczymi. Każdy podmiot leczniczy jest więc ustawowo obowiązany do prowadzenia dokumentacji medycznej osób korzystających z udzielanych przez niego świadczeń zdrowotnych. Obowiązek ten obejmuje w takim samym zakresie podmioty lecznicze niebędące przedsiębiorcami i podmioty lecznicze posiadające status przedsiębiorcy.

 Fizjoterapeuta udzielając świadczeń zdrowotnych ma kontakt z tzw. danymi wrażliwymi zawartymi w dokumentacji medycznej pacjentów i w związku z tym pracuje z danymi  osobowymi pacjentów. Obowiązek prowadzenia prowadzenia, przechowywania i udostępniania dokumentacji  medycznej wynika z  u.p.p. Może być ona prowadzona zarówno w postaci papierowej jak i elektronicznej.

             

Czym  jest dokumentacja medyczna ?

 

W polskich przepisach prawnych  brak jest obecnie definicji dokumentacji medycznej, która wyczerpująco ustaliłaby znaczenie tego terminu. Definicja dokumentacji medycznej została zawarta w ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej (dalej w skrócie u.dz.l.) Ustawa ta odwołuje się do definicji dokumentacji, o której mowa w przepisach u.p.p. Jednakże u.p.p. nie zawiera definicji dokumentacji medycznej. Definicje dokumentacji medycznej znajdziemy w nieobowiązującej już ustawie z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (w skrócie u.z.o.z. - utraciła moc dnia 1 lipca 2011 r.)  W art 18 ust. 1 pkt 5 u.z.o.z.  ustawodawca określa  dokumentację medyczną jako  dane i informacje medyczne odnoszące się do stanu zdrowia pacjenta lub udzielonych mu w zakładzie opieki zdrowotnej świadczeń zdrowotnych, gromadzone i udostępniane na zasadach określonych w ustawie o prawach pacjenta.  Dla przypomnienia u.dz.l. nie posługuje się już pojęciem zakładu opieki zdrowotnej (wyjątek dotyczy samodzielnego publicznego zakładu opieki zdrowotnej), nie będą funkcjonowały już niepubliczne zakłady opieki zdrowotnej. Natomiast zgodnie z u.dz.l działalność leczniczą mogą prowadzić podmioty wykonujące działalność leczniczą, tj. podmioty lecznicze oraz praktyki zawodowe lekarzy, lekarzy dentystów, pielęgniarek i położnych. Podmiotem leczniczym może być m.in. przedsiębiorca w rozumieniu ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej we wszelkich formach przewidzianych dla wykonywania działalności gospodarczej, o ile wykonuje on działalność leczniczą (art. 4 ust. 1 pkt 1 u.dz.l.). Podmiotem leczniczym może być więc zarówno osoba fizyczna wykonująca jednoosobowo działalność gospodarczą np. fizjoterapeuta jak i różnego rodzaju spółki.

Czym jest elektroniczna dokumentacja medyczna?

Termin „elektroniczna dokumentacja medyczna" zawarty został w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (dalej w skrócie u.s.o.z). Zgodnie  z art. 2 pkt 6 u.s.o.z. przez pojęcie elektronicznej dokumentacji medycznej rozumie się dokumentację medyczną  wytworzoną w postaci elektronicznej, zawierającą dane o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, w tym dokument elektroniczny umożliwiający usługobiorcy uzyskanie świadczenia opieki zdrowotnej określonego rodzaju.

„Elektroniczna dokumentacja medyczna to  dokumentacja medyczna  wytworzona w postaci elektronicznej, zawierająca dane o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej, w tym dokument elektroniczny umożliwiający usługobiorcy uzyskanie świadczenia opieki zdrowotnej określonego rodzaju.”

Obecnie fizjoterapeuci działający w ramach podmiotów leczniczych mają możliwość prowadzenia dokumentacji medycznej w formie papierowej jak i elektronicznej. Z dniem 1 sierpnia 2017 r. prowadzenie dokumentacji  medycznej w formie papierowej zostanie zastąpione obowiązkiem prowadzenia dokumentacji tylko w wersji elektronicznej.
W związku z powyższym ustawodawca nałożył  na podmioty lecznicze  konieczność dostosowania do prowadzenia dokumentacji w formie elektronicznej. Oczywiście,  na etapie wdrażania elektronicznej dokumentacji medycznej w konkretnej placówce medycznej czy fizjoterapeuty prowadzącego gabinet może pojawić się oczywiście szereg wątpliwości odnośnie zarówno przedziału czasowego jej wdrażania jak i organizacji. Warto tutaj wskazać,  iż  z analiz przeprowadzonych przez Centrum Systemów Informacyjnych Ochrony Zdrowia  wynika, że czas na wdrożenie elektronicznej dokumentacji medycznej w placówce medycznej może znacznie przekroczyć 1 rok. Ponadto wskazuje, iż mimo wdrażania elektronicznej dokumentacji medycznej konieczne będzie, jeszcze przez dłuższy czas posługiwanie się zarówno dokumentacja  papierową jak i  elektroniczną. Podane dane to jednak dane statystyczne i nie uwzględniają specyfiki konkretnych podmiotów. Te podmioty lecznicze, które jeszcze nie zaczęły wdrażania e-dokumentacji  będą musiały rozpocząć  jej wdrażanie z odpowiednim wyprzedzeniem.

Wymagania dla elektronicznej dokumentacji medycznej.

Do elektronicznej dokumentacji medycznej zastosowanie mają wszelkie przepisy ogólne dotyczące dokumentacji medycznej, tj. regulujące zakres danych objętych dokumentacją, przetwarzanie, udostępnienie, zabezpieczanie oraz przepisy szczególne dotyczące dokumentacji elektronicznej zawartej w rozdziale 8  Rozporządzenia z dnia  Rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (dalej w skrócie r.d.m) a także dodatkowe przewidziane wyłącznie dla dokumentacji formie elektronicznej. Elektroniczna dokumentacja medyczna jako jedna z form prowadzenia dokumentacji medycznej, powinna spełniać wymagania ogólne, jakie są przewidziane  dla dokumentacji medycznej. Zgodnie art. 25 u.p.p., każdy dokument medyczny, bez względu na to, czy jest sporządzony w formie pisemnej, czy w postaci zapisu komputerowego, czy cyfrowego, powinien zawierać co najmniej następujące elementy:

1)  oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości: 

a)  nazwisko i imię (imiona), b)  datę urodzenia, c)  oznaczenie płci, d)  adres miejsca zamieszkania,

e)  numer PESEL, jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość,

f)  nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania – w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody,

2)  oznaczenie podmiotu udzielającego świadczeń zdrowotnych ze wskazaniem komórki organizacyjnej, w której udzielono świadczeń zdrowotnych,

3)  opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych,

4)  datę sporządzenia.

Wymagania powyższe obowiązują bez względu na wielkość podmiotu udzielającego świadczeń zdrowotnych.

Dodatkowe wymagania dla dokumentacji elektronicznej

Poza powyższymi wymaganiami prawo przewiduje dodatkowe wymogi dotyczące wyłącznie elektronicznej dokumentacji medycznej. Jej prowadzenie przez podmiot leczniczy jest możliwe pod warunkiem, iż system teleinformatyczny, rozumiany zgodnie z art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną jako zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego, stworzony na jej potrzeby zapewni, zgodnie z § 80 r.d.m.:

1) zabezpieczenie dokumentacji przed uszkodzeniem lub utratą,

2) zachowanie integralności i wiarygodności dokumentacji,

3) stały dostęp do dokumentacji dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieuprawnionych,

4) identyfikację osoby dokonującej wpisu oraz osoby udzielającej świadczeń zdrowotnych i dokonywanych przez te osoby zmian, w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowanie cech informacyjnych, zgodnie z§ 10 ust. 2 r.d.m.,

5) udostępnienie, w tym przez eksport w postaci elektronicznej, dokumentacji albo części dokumentacji będącej formą dokumentacji określonej w rozporządzeniu w formatach XML i PDF,

6) eksport całości danych w formacie XML w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym,

7) wydrukowanie dokumentacji w formach określonych w rozporządzeniu.

Warto wspomnieć, że ustawodawca całkowicie odstąpił w przepisach zawartych w r.d.m.  od wymogu stosowania w elektronicznej dokumentacji medycznej podpisu elektronicznego. Oznacza to, że może być on stosowany ale nie musi. Odstępując od wymogu podpisu elektronicznego ustawodawca określił wymagania dla systemu informatycznego jak wyżej.  

„System teleinformatyczny w którym prowadzona jest elektroniczna dokumentacja medyczna musi posiadać zabezpieczenia przed nieuprawnionym dostępem do danych pochodzących również z sieci publicznej np. środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej oraz barier antywirusowych.”

Zabezpieczenie elektronicznej dokumentacji medycznej.

Ważną rzeczą przy prowadzeniu dokumentacji w formie elektronicznej jest stosowanie odpowiednich zabezpieczeń przez nieuprawnionym dostępem do danych w niej zawartych. Elektroniczna dokumentacja medyczna jest szczególnym rodzajem dokumentacji gdyż zawiera dane osobowe wrażliwe, o jakich mowa w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej w skrócie  u.o.d.o.). Stąd konieczne aby fizjoterapeuta zagwarantował  zapewnienie jej odpowiedniego bezpieczeństwa.  Zgodnie z art. 27 u.o.d.o. dane stanowiące informacje o stanie zdrowia pacjenta, czyli dane medyczne, zalicza się do tzw. wrażliwych danych osobowych, podlegających szczególnej ochronie i co do zasady objętych zakazem przetwarzania. Wyjątek stanowi przetwarzanie danych w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych.

Poziomy bezpieczeństwa danych osobowych

U.o.d.o. wyraźnie określa, iż przetwarzanie jest dopuszczalne jedynie pod warunkiem stworzenia pełnych gwarancji dla ochrony danych osobowych. Podmiot leczniczy  jest  administratorem danych osobowych. W związku z powyższym  prowadząc e-dokumentację medyczną pacjenta i przetwarzając w jej ramach dane medyczne, zobowiązany jest do jej należytej ochrony i zabezpieczenia. Szczegółowe wymagania w zakresie wdrażania prowadzenia dokumentacji medycznej w formie elektronicznej wynikają z przepisów wspomnianej u.s.o.z. Przepisy u.s.o.z. dzielą zabezpieczenia na technologiczne (np. programy antywirusowe, tzw. zapory sieciowe uniemożliwiające nieautoryzowany dostęp do danych z zewnątrz) oraz zabezpieczenia mechaniczne (np. zamknięte serwerownie z ograniczonym dostępem).

Poziomy bezpieczeństwa przetwarzania danych osobowych w systemie teleinformatycznym zostały sformułowane w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W zależności od kategorii przetwarzanych danych przepisy przewidują 3 poziomy bezpieczeństwa: podstawowy, podwyższony oraz wysoki. Z uwagi na dysponowanie przez  podmioty lecznicze danymi wrażliwymi, powinny one stosować wysoki poziom bezpieczeństwa przetwarzania danych. Do ustalenia  czy ochrona dokumentacji medycznej prawidłowo została zapewniona konieczne jest stwierdzenie, iż:

– dostęp do niej mają wyłącznie osoby uprawnione,

– została zapewniona odpowiednia ochrona przed przypadkowym lub nieuprawnionym zniszczeniem,

• wprowadzono metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana, tj. zgodnie ze stopniem zaawansowania technologicznego.

Planowanie  działań ochronnych

W celu zapewnienia odpowiedniego zabezpieczenia danych fizjoterapeuta powinien zaplanować szereg działań mających na celu ochronę prowadzonej przez siebie elektronicznej dokumentacji medycznej.  System teleinformatyczny w którym prowadzona jest elektroniczna dokumentacja medyczna musi posiadać zabezpieczenia przed nieuprawnionym dostępem do danych pochodzących również z sieci publicznej. Tutaj właściwe będzie stosowanie środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej oraz barier antywirusowych. W przypadku awarii zasilania   konieczne będzie uzupełnienie systemu zabezpieczeń w urządzenia zabezpieczające przed wyłączeniem, tj. agregaty prądotwórcze lub układy zasilania UPS. W celu zabezpieczenia danych podmiot leczniczy powinien wykonać kopie zapasowe zbioru danych oraz oprogramowania służącego do przetwarzania danych. Natomiast wszelkie inne nośniki informacji niebędące kopią zapasową, winny ulec zniszczeniu w sposób uniemożliwiający uzyskanie dostępu do jakichkolwiek danych medycznych.

Fizjoterapeuta powinien  ponadto pamiętać, aby zgodnie z  § 86 r.d.m.

– dokonywać systematycznej analizy zagrożeń,

– opracowywać i stosować odpowiednie procedury zabezpieczeń i systemów ich przetwarzania,

– stosować środki  adekwatne do zagrożeń,

– na bieżąco  kontrolować funkcjonowanie wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a co więcej dokonywać okresowej oceny ich skuteczności,

przygotować i realizować plany przechowywania dokumentacji w długim czasie, w tym jej przenoszenie na nowe nośniki danych i do nowych formatów, jeżeli jest to wymagane ze względu na zapewnienie ciągłości dostępu.

„Dane stanowiące informacje o stanie zdrowia pacjenta,                                       czyli dane medyczne, zalicza się do tzw. wrażliwych danych                                         osobowych, podlegających szczególnej ochronie i co do                                                   zasady objętych zakazem przetwarzania.

Przykład. Fizjoterapeuta - pracownik podmiotu leczniczego udzielającego świadczeń zdrowotnych ma możliwość wejścia do systemu informatycznego zawierającego elektroniczną dokumentację medyczną bez loginu i hasła.  Podmiot leczniczy nie będzie spełniał wymogów prowadzenia elektronicznej dokumentacji medycznej ze względu brak zabezpieczeń przed nieuprawnionym dostępem do danych przez innych pracowników poprzez przydzielenie loginu i hasła do systemu.

Podpis pacjenta w elektronicznej dokumentacji medycznej.

W przypadku prowadzenia dokumentacji medycznej przez fizjoterapeutę w postaci elektronicznej  pojawia się problem formy podpisu pacjenta. Zgodnie z treścią § 81 r.d.m. w przypadku, gdy do dokumentacji medycznej prowadzonej w postaci elektronicznej ma być dołączona dokumentacja utworzona w innej postaci, w tym zdjęcia radiologiczne lub dokumentacja utworzona w postaci papierowej osoba upoważniona przez podmiot wykonuje tzw. odwzorowanie cyfrowe tej dokumentacji i umieszcza je w systemie informatycznym w sposób zapewniający czytelność, dostęp i spójność dokumentacji. Odwzorowany przy użyciu odpowiednich urządzeń dokument musi być przetwarzany w systemie w formacie XML i PDF (por. § 80 pkt 5 r.d.m.). W praktyce oznacza to, że wszelkie dokumenty wymagające podpisania przez pacjenta, pierwotnie będą musiały mieć formę papierową i po podpisaniu zostać przetworzone na formę elektroniczną, np. poprzez zeskanowanie. Po zeskanowaniu, oryginał dokumentu podpisany przez pacjenta zostaje mu wydany na jego życzenie. W przeciwnym razie dokument należy zniszczyć w sposób uniemożliwiający identyfikację pacjenta (§ 81 ust. 2 r.d.m.).

                                   „Wszelkie dokumenty wymagające podpisania przez                                                    pacjenta, pierwotnie będą musiały mieć formę papierową i                                          po podpisaniu zostać przetworzone na formę elektroniczną,                                          np. poprzez zeskanowanie.”

 

Udostępnianie elektronicznej dokumentacji medycznej  przez fizjoterapeutę

 

Zgodnie z art. 83 ust.1 r.d.m. udostępnianie dokumentacji prowadzonej w postaci

elektronicznej następuje przez:

- przekazanie informatycznego nośnika danych z zapisaną dokumentacją,

- dokonanie elektronicznej transmisji dokumentu,

- przekazanie papierowych wydruków na żądanie uprawnionych podmiotów lub organów.

 

Dokumentację prowadzoną w postaci elektronicznej fizjoterapeuta obowiązany jest udostępnić z zachowaniem jej integralności oraz ochrony danych osobowych. W przypadku gdy dokumentacja prowadzona w postaci elektronicznej jest udostępniana w postaci papierowych wydruków, osoba upoważniona przez podmiot potwierdza ich zgodność z dokumentacją w postaci elektronicznej i opatruje swoim oznaczeniem. Dokumentacja wydrukowana powinna umożliwiać identyfikację osoby udzielającej świadczeń zdrowotnych.

 

Okresy przechowywania dokumentacji

 

Dokumentacja medyczna prowadzona przez każdy podmiot udzielający świadczeń zdrowotnych jest przechowywana przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:

1)  dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon,

2)  zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie,

3)  skierowań na badania lub zleceń lekarza, które są przechowywane przez okres 5 lat, licząc od końca roku kalendarzowego, w którym zrealizowano świadczenie będące przedmiotem skierowania lub zlecenia,

1. dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat.

Po upływie wyżej wskazanych okresów przechowywania dokumentacja powinna zostać zniszczona w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła. Dokumentacja indywidualna wewnętrzna przewidziana do zniszczenia może zostać wydana na wniosek: pacjenta, jego przedstawiciela ustawowego albo osoby bliskiej przez niego upoważnionej do uzyskiwania dokumentacji, za pokwitowaniem. Obecnie w r.d.m. podmiot leczniczy nie ma  obowiązku poinformowania pacjenta albo ww.  osób o możliwości uzyskania dokumentacji przeznaczonej do zniszczenia.

 

 

Anna Słowińska

prawnik

 

 

Bibliografia